A adequação à Lei Geral de Proteção de Dados não se resume a publicar uma política de privacidade. A empresa precisa compreender quais dados utiliza, por que utiliza, quem acessa e como responde a incidentes e solicitações de titulares.
Comece pelo mapeamento de dados
Liste os dados recebidos de clientes, empregados, candidatos, fornecedores e parceiros. Identifique a origem, a finalidade, os sistemas utilizados, o prazo de conservação e com quem as informações são compartilhadas.
Defina responsabilidades
A empresa deve identificar quem decide sobre o tratamento de dados, quais prestadores atuam em seu nome e quem será o ponto de contato. Contratos e rotinas internas precisam refletir essas responsabilidades.
Revise acessos e segurança
- controle de usuários e senhas;
- autenticação em dois fatores;
- cópias de segurança;
- atualização de sistemas;
- restrição de acesso conforme a função;
- procedimento para desligamento de empregados;
- plano de resposta a incidentes.
Não ignore fornecedores
Contabilidades, plataformas, softwares, empresas de marketing e armazenamento em nuvem podem tratar dados em nome da empresa. Os contratos devem prever segurança, confidencialidade, responsabilidades e comunicação de incidentes.
Crie um canal para os titulares
Clientes e empregados precisam saber como solicitar informações, correções ou outras providências. As respostas devem seguir fluxo interno definido, com registro e análise adequada.
Adequação proporcional, mas efetiva
Empresas de pequeno porte podem adotar soluções compatíveis com sua realidade, mas continuam obrigadas a proteger dados e respeitar direitos. Modelos prontos, sem correspondência com a operação, produzem uma falsa sensação de conformidade.
Integração com compliance
A LGPD funciona melhor quando integrada à governança, aos contratos, aos controles internos e à gestão de riscos. A revisão jurídica preventiva ajuda a transformar exigências abstratas em procedimentos aplicáveis.
Este artigo possui caráter informativo e apresenta orientações gerais. A solução adequada depende dos documentos e das circunstâncias de cada caso.
Fontes oficiais consultadas
ANPD — Guia de segurança da informação para agentes de pequeno porte